Conferencia RSA: McAfee descubre que Lazarus Group utilizaba el spearphishing para atacar a sus víctimas

11 marzo, 2019
24 Compartido 1,068 Visualizaciones

McAfee descubre que Lazarus Group utilizaba el spearphishing para atacar a sus víctimas. ¿Cómo pueden protegerse las empresas?

McAfee anunció  durante la conferencia RSA, que tuvo lugar en San Francisco (California), el descubrimiento de conocimientos técnicos inusuales y pruebas que vinculan al actor del estado-nación de Corea del Norte, Lazarus Group, con la campaña de ciberespionaje dirigida a organizaciones de defensa, gobierno, energía e infraestructuras críticas de todo el mundo en diciembre de 2018 y que aún continúa.

Principalmente, la técnica empleada eran los correos electrónicos de spearphishing, un método poco común y poco avanzado, que simula procesos de trabajo de forma muy convincente para obtener acceso a los sistemas.

Grant Bourzikas, Chief Information Security Officer en McAfee, ofrece su opinión de experto sobre cómo las empresas pueden protegerse ante este tipo de ataques: “Seguimos viendo a los cibercriminales utilizar spearphishing y otras técnicas de ingeniería social para infiltrarse entre sus objetivos con alto grado de éxito. Como CISO considero que es imprescindible que las organizaciones tomen nota de estos métodos y adopten una estrategia dual con soluciones de protección de correo electrónico avanzadas y formación a los empleados para defenderse de ataques cada vez más sofisticados y proteger su infraestructura interna”.

Principales conclusiones:

El proceso de atribución

En cualquier investigación de ciberseguridad el proceso de atribución es crítico para entender las campañas de ataque y sus implicaciones. Sin embargo, a veces no hay suficientes evidencias para identificar quien está detrás de un ataque. Una atribución errónea puede tener también importantes consecuencias, por lo que este proceso no debe tomarse a la ligera.

Hasta ahora el equipo de investigación de amenazas de McAfee (Advanced Threat Research) no contaba con suficientes evidencias técnicas para atribuir estos ataques a Lazarus. Ahora, sin embargo, gracias al acceso que ha tenido McAfee a los datos en los servidores de control incautados que usaban los adversarios, ya no cabe ninguna duda.

Los datos de comando y control fueron proporcionados a McAfee para su análisis por parte de una entidad gubernamental que está familiarizada con la investigación publicada por McAfee sobre esta campaña de malware.

Nuevos objetivos

Las conexiones entre Lazarus y la Operación Sharpshooter se consolidan con evidencia técnica a medida que esta campaña global continúa afectando a sectores clave.

Cuando McAfee descubrió la Operación Sharpshooter en diciembre de 2018, existían posibles vínculos con el grupo Lazarus, pero no suficientes conexiones técnicas para atribuir la campaña con confianza. La nueva evidencia ahora muestra indicadores técnicos y procedimientos que se solapan entre los dos.

La Operación Sharpshooter parece que comenzó en septiembre de 2017, lo que extiende la campaña aproximadamente un año más de lo que la evidencia previa sugería. La presunta campaña de reconocimiento de datos también se ha orientado hacia nuevos objetivos, que ahora se centran en las finanzas, el gobierno y las infraestructuras críticas en todo el mundo, principalmente en Alemania, Turquía, Reino Unido y Estados Unidos

Los actores, principalmente, aprovecharon los correos electrónicos de spearphishing, simulando procesos de trabajo de forma muy convincente, para obtener acceso a los sistemas. Se trata de una técnica ordinaria y no avanzada que tuvo un gran éxito al permitir a Lazarus infiltrarse en las principales organizaciones en industrias como el gobierno y las finanzas.

Conexiones con África

El análisis del código del servidor de comando y control y los registros de archivos descubrieron un bloque de red de direcciones IP originadas en la ciudad de Windhoek en Namibia, África, lo que lleva a McAfee a creer que Lazarus está probando implantes en la región antes de realizar ataques más amplios .

Te podría interesar

Santander invierte en Roostify, una startup que permite formalizar una hipoteca con el móvil
FINTECH
43 compartido963 visualizaciones
FINTECH
43 compartido963 visualizaciones

Santander invierte en Roostify, una startup que permite formalizar una hipoteca con el móvil

José Luis - 23 febrero, 2018

Participan en una ronda de financiación que ha alcanzado los 25 millones de dólares. Santander InnoVentures, el fondo de capital emprendedor…

Top 5 startup de ciberseguridad en el Cybertech Startup Show 2018
Actualidad
32 compartido1,648 visualizaciones
Actualidad
32 compartido1,648 visualizaciones

Top 5 startup de ciberseguridad en el Cybertech Startup Show 2018

Vicente Ramírez - 2 octubre, 2018

Cybertech Startup Show mostró en intervalos de 4 minutos por ponente,  5 de las startups más punteras en el sector…

“Bad Hackers” organizados podrían estar viralizando el MomoChallenge para robar información
Ciberespionaje
23 compartido3,229 visualizaciones
Ciberespionaje
23 compartido3,229 visualizaciones

“Bad Hackers” organizados podrían estar viralizando el MomoChallenge para robar información

Mónica Gallego - 1 marzo, 2019

Hackers organizados podrían estar viralizando el MomoChallenge para robar información. MomoChallenge, el terrorífico reto por Whatsapp que se hizo viral entre…

Deje un comentario

Su email no será publicado